XueTr
大小:7.09MB
语言:简体中文
版本:1.56 中文绿色版
系统:WinAll
极速下载
下载手机助手,可在手机助手中下载目标软件,下载更安全
XueTr与著名的冰刃(IceSword)不相上下,具备冰刃的注册表管理功能,但是删除文件的功能已经远远超越了冰刃,并且有Unlocker所不具备的解锁隐藏文件能力,在杀进程方面,XueTr与冰刃一样强大,但操作更为友好些。
XueTr功能介绍
1、支持进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
2、内核驱动模块查看,支持内核驱动模块的内存拷贝
3、支持SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4、CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5、XueTr内核模块的iat、eat、inline hook、patches检测和恢复
6、可对磁盘、卷、键盘、网络层等过滤驱动检测并删除
7、可对注册表进行编辑
8、进程iat、eat、inline hook、patches检测和恢复
9、文件系统查看,支持基本的文件操作
10、查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则
11、ObjectType Hook检测和恢复
12、DPC定时器检测和删除
XueTr安装步骤
1、自该页直接下载【XueTr】,用WinRAR工具解压并运行。
2、根据提示可选择【XueTr】安装目录
XueTr使用方法
工具初次打开后就会立刻显示出系统里目前存在的所有进程
这个进程列表有 7 个栏目查看,分别为:
1、映像名称:进程名字
2、进程ID:进程的Id号码
3、父进程ID:说明该进程由谁创建启动的,比如这里XueTr程序是在winrar压缩包里双击打开的
所以XueTr是由winrar创建的,因此它父进程ID号和WINRAR程序ID号一样都是2476
4、映像路径:进程文件的具体位置。
5、EPROCESS:进程在系统内核的地址,熟悉点Windows内核的人,可以通过这个地址查看更多的信息,但教程是面向新人的,所以可以不在意这些信息,也不影响平时使用。
6、应用层访问状态:说明这个进程是否允许其它进程对自己操作,比如关闭自己,一般的杀毒软件有自我保护,会禁止其它进程对自己有任何操作。
7、文件厂商:显示进程文件由那个公司出品,可以了解下该程序的出处背景,不过要知道这个文件厂商信息很容易伪造,所以只能做个参考而已不可全信。
除了这些项目,大家应该可以发现上图中我的进程项目都是用黑色和蓝色来表现的,这里不同的颜色就代表不同的意义。
黑色—表示这个进程的主文件是微软的,比较安全蓝色—这个进程文件不是微软出品的,可能是其他的公司或个人制作,安全性有待考证粉红—也是安全有待考证,说明这个进程中还包含了其它文件,比如有些DLL文件插入到本进程里,而这些文件没有签名,默认情况下软件不会显示粉色,需要右击任意进程,选择校验所有签名才行
而如果选择一个微软的进程,然后它所包含的模块文件里有些文件是非微软公司出品的,就会用黄色显示出来红色—比较危险了,说明进程是隐藏的或者有其它反常表现
注,开发者的颜色说明:
1、驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色
2、文件厂商是微软的 ----> 黑色
3、文件厂商非微软的 ----> 蓝色
4、如果您效验了所有签名,对没有签名的模块行 ---> 粉红色
5、进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色
进程的检测是对病毒查杀的第一步了,这款工具对于检测到的进程操控能力很强,右击进程可以在弹出的菜单里做出各个需要的操作
XueTr使用说明
1、打开XueTr,如果存在病毒的话,会自动检测出病毒生成的文件,我们用鼠标右键点击这些文件,并全部删除。(此处以鬼影病毒为例)
2、之后在内核模块下,会发现有一个可疑PE映像,还不能确定一定是鬼影病毒造成的,先继续往下。
3、切换到“内核钩子”模块下,如图所示的三行中就是鬼影病毒造成的,我们同样把它们删除掉。
4、最后再检测MBR,会发现MBR已被篡改,并提示用户是否要修复(建议修复之前先备份,以免造成系统故障),之后我们点击“是”修复MBR并重启电脑,这样就将病毒成功清除掉了。
XueTr使用技巧
1、进程标签页,右键,菜单中有个"在下方显示模块窗口"。
勾选后不用再单独打开个窗口查看模块了,选择一个进程,窗口下方马上显示模块。
2、右键进程,有个"查看句"柄选项,可按句柄来操作进程相关资源。
3、右键进程,有个"查看...",里边有个"进程窗口",再右键状态为"可见"的选项,选择"显示窗口",就能看到对应的窗口页面。
喜欢破解软件的朋友,不用再为可见的窗口跟踪汇编代码了。
4、右键进程,有两个选项,一个是"在线搜索进程名",点进去之后,会直接在Google进行搜索。还有一个是"在线分析",很好的功能,点进去之后,会到virscan查毒网站,提交文件,网站会提供36种杀毒软件为你查毒。
5、算是建议吧。内核模块最好不要动,内核模块要是不用卸载代码卸载(写内核驱动的时候,会写一段卸载函数代码),很多时候会蓝屏哦!
6、标签"网络" - "IE插件" And "IE右键菜单",系统优化的时候常常能用到。
7、标签"注册表",最下方提供了常用的注册表地址,不用再一个一个标签去点开了,很多都在里面了。
8、标签"文件",强制删除的功能估计用过的人都见识过了,驱动级的删除很牛很强大。还有一个功能是"查看锁定情况",通过这个功能就能知道,这个文件夹有几个进程涉及到了,不错吧。
9、启动项标签页,最新版会显示更详尽的启动信息,包括被注释掉的启动项。
10、系统杂项,"文件关联",可以通过右键修复系统默认的关联。
11、系统杂项,"映像劫持"功能。
以前到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 才能分析的内容,现.在直接就提供了劫持分析功能。
12、还有一个很好的,"系统防火墙规则"。刚装完系统,比方说用个QQ什么的,防火墙肯定会蹦出来,这个标签页能让你看到防火墙的状态,用于方便修改防火墙规则。
13、"杂项",一看就能明白,提供了很多解锁功能。MBR检测功能也移到这里来了。
14、标签"本工具配置",增加了"窗口置顶"选项,哈哈。估计作者也体验过杀毒的时候不能激活页面的痛苦。
15、最后,"本工具配置"里面的禁止功能非常强大,强大到连系统也得听他的。不小心杀掉系统重要进程会出现倒计时重启页面,别着急,直接把这个标签页的“禁止待机、注销、关机、重启“选项选中,系统就无法重启了。
XueTr相关问题
问题一:为什么XueTr有时候运行,全是空白?
请您确定您只开启了一份XueTr,目前在XueTr开启一份后,再启动XueTr将会全是空白。
请您确定您是否刚才运行了XueTr的旧版本,而为重启系统就运行了更新的版本(即新旧版本混合用情况),这个时候会出现白板,建议您重启系统运行新版,或者改名后运行新版本。
问题二:XueTr蓝屏,我该怎么办?
为了更稳妥的使用XueTr,强烈建议您的系统打微软补丁后,要重启系统再运行XueTr,虽然XueTr提供了一些对这种情况的识别,但还是可能有疏忽的地方。如果排除打补丁导致的蓝屏后,XueTr使用过程中还蓝屏,请您把minidump发到linxer@163.com供作者分析。
问题三:为什么64位系统无法加载驱动?
XueTr目前只支持32位系统,不支持64位系统。
XueTr温馨提醒
注意:由于XT要深入系统底层并加载驱动,部分杀毒软件可能会报毒,如有报警请选择放过;请不要新老版本同时使用,否则会导致使用问题,如部分功能不显示(白板)等。
同类软件对比
腾讯电脑管家是国内首款集成“杀毒+管理”二合一功能的免费网络安全软件,其中包含杀毒、实时防护、漏洞修复、系统清理、电脑加速、软件管理等功能。目前,腾讯管家电脑版历史装机量达3.5亿次。腾讯电脑管家不断加持技术,强化功能服务,力争成为一款让用户最为信赖的专业免费安全软件。欢迎到PC下载网下载使用。
McAfee Stinger Raptor最新版是一款功能强大,操作简单的迈克菲杀毒软件,McAfee Stinger Raptor最新版没有任何附带广告及捆绑软件,并且通过McAfee Stinger Raptor官方版大家就能够轻松揪出电脑中隐藏最深处的病毒软件,并且能够从根源删除,不留后患。
XueTr更新日志
加入了上传文件到金山火眼分析,并查看火眼分析结果的功能
修正Win7上枚举Object Hook的时候一个潜在程序崩溃Bug
